Значение концепции защиты информации для формирования целевых программ и практических мероприятий по защите информации

Оглавление
ВВЕДЕНИЕ
ГЛАВА 1 - "АНАЛИЗ НОРМАТИВНОЙ ЗАКОНОДАТЕЛЬНОЙ БАЗЫ"
ГЛАВА 2 - "АНАЛИЗ НАУЧНОЙ, УЧЕБНО-МЕТОДИЧЕСКИЙ ЛИТЕРАТУРЫ ПО ИССЛЕДУЕМОМУ ВОПРОСУ"
ГЛАВА 3 - "СУБЪЕКТИВНЫЙ ВЗГЛЯД ИССЛЕДОВАТЕЛЯ ПО РАССМАТРИВАЕМОМУ ВОПРОСУ"
ВЫВОДЫ ПО РАБОТЕ
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ
ПРИЛОЖЕНИЕ 1

Значение концепции защиты информации для формирования целевых программ и практических мероприятий по защите информации

контрразведывательные мероприятия с целью получить сведения о том, как именно противник получает доступ к информации и соответствующего противодействия.
Белов Е.Б, Лось В.П. Основы информационной безопасности. М.: Горячая линя - Телеком, 2006. - 544 с. 
В книге большое внимание уделено проблеме информационной безопасности, включая вопросы определения модели нарушителя и требований к защите информации. Анализируются современные способы и средства защиты информации и архитектура систем защиты информации. В приложениях приведен справочный материал по ряду нормативных правовых документов.
Первая часть книги посвящена основам государственной информационной политики и информационной безопасности российской федерации. Приведены основные понятия, общеметодологические принципы обеспечения информационной безопасности. Определены источники и содержание угроз в информационной сфере.
Вторая часть посвящена информационной безопасности автоматизированных систем. Дана Современная постановка задачи защиты информации. Довольно подробно описано организационно-правовое обеспечение информационной безопасности. Приведена классификация видов угроз информации. Определены методы и модели оценки уязвимости информации. Приведены рекомендации по использованию моделей оценки уязвимости информации. Даны методы определения требований к защите информации. Особое внимание уделено функциям и задачам защиты информации, стратегиям защиты информации, способам и средствам защиты информации.
Отдельная глава описывает архитектуру систем защиты информации.
Издание освещает основные вопросы связанные с концепцией защиты информации, материал представлен в интересной доступной форме, что позволяет лучше понять значимость данного вопроса.
Гладких А.А., Дементьев В.Е. Базовые принципы информационной безопасности вычислительных сетей /Учебное пособие - Ульяновск : УлГТУ, 2009.- 156 с.
Издание широко освещает ряд вопросов связанных с защитой информации:
Анализ методов защиты информации в вычислительных сетях.
Программно-аппаратные средства обеспечения информационной безопасности.
Административный уровень обеспечения информационной безопасности.
Законодательно-правовое обеспечение информационной безопасности.
Излагаются основные принципы обеспечения информационной безопасности в ходе эксплуатации элементов вычислительных сетей. Обеспечение безопасности в вычислительных сетях является актуальной задачей поэтому хотелось бы рассмотреть ее более подробно.
Анализ проблемы безопасности информации в вычислительных сетях
Основными факторами,  способствующими повышению информационной уязвимости, являются следующие:
увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации;
сосредоточение в единых базах данных информации различного назначения и различной принадлежности;
расширение круга пользователей, имеющих непосредственный доступ к ресурсам вычислительной сети и находящимся в ней массивах данных;
усложнение режимов работы технических средств вычислительной сетей;
автоматизация межмашинного обмена информацией, в том числе на больших расстояниях;
слабая подготовка (недостаточная квалификация) персонала.
Атака – это реализация угрозы безопасности; действие, совершаемое злоумышленником. Угроза - целенаправленное действие, которое повышает уязвимость накапливаемой, хранимой и обрабатываемой в системе информации и приводит к ее случайному или преднамеренному изменению или уничтожению.
Классификация угроз безопасности информации
Все угрозы безопасности информации  можно классифицировать по следующим признакам: по цели воздействия; по характеру воздействия и по способу возникновения  (рис. 1).
Рис. 1  Классификация угроз безопасности информации
В зависимости от характера воздействия нарушителя могут быть выделены активные и пассивные угрозы безопасности информации. Атаки могут производиться как из-за пределов сети (атаки по сети), так и по внутренним каналам (физические атаки). Поэтому информационная защита также делится на два вида: внешнюю и внутреннюю. Для достижения своих целей атакующая сторона будет пытаться использовать оба вида атак. Сценарий ее действий заключается в том, чтобы с помощью физических атак завладеть некоторой информацией о сети, а затем с помощью атак по сети осуществлять несанкционированный доступ (НСД) к компонентам всей сети системы. По данным статистики  доля физических атак составляет 70 % от общего числа совершенных атак. При пассивном вторжении (перехвате информации) нарушитель только наблюдает за прохождением информации в ВС, не вторгаясь ни в информационный поток, ни в содержание передаваемой информации. При активном вторжении нарушитель стремится изменить информацию, передаваемую в сообщении.[8]
Причинами случайных  угроз могут быть:
аварийные ситуации из-за стихийных бедствий и отключения электропитания;
отказы и сбои аппаратуры;
ошибки в программном обеспечении;
ошибки в работе обслуживающего персонала и пользователей;
помехи в линиях связи из-за воздействий внешней среды.
Преднамеренные угрозы связаны с целенаправленными действиями нарушителя, могут реализовать как внутренние для системы участники процесса обработки данных (персонал, сервисное звено и т. д.), так и люди, внешние по отношению к системе, так называемые «хакеры».
Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). Суть НСД состоит в получении нарушителем доступа к объекту в нарушение правил разграничения доступа, установленных  в соответствии с принятой политикой безопасности. НСД может быть осуществлен как штатными средствами системы, так и специально созданными аппаратными и программными средствами.[9]
Наиболее частым нарушениями по сети являются: сбор имен и паролей, подбор паролей,  выполнение действий, приводящих к переполнению буферных устройств и т.п.
Основные функции системы защиты информации от НСД
Информационное противодействие осуществляется путем проведения комплекса мероприятий, включающих техническую разведку систем связи и управления, перехват передаваемой по каналам связи оперативной информации. Вторую часть составляют мероприятия по защите информации, средств ее хранения, обработки, передачи и автоматизации этих процессов от воздействий противника (информационная защита), включающие действия по деблокированию информации (в том числе защиту носителей информации от физического уничтожения), необходимой для решения задач управления и блокированию дезинформации, распространяемой и внедряемой в вычислительную сеть.
Информационная защита не исключает мероприятий по разведке, защите от захвата элементов информационных систем, а также по радиоэлектронной защите.
Идентификация и аутентификация пользователей
Основой любых систем защиты информации являются идентификация и аутентификация, так как все механизмы защиты информации рассчитаны на работу с поименованными субъектами и объектами.
Присвоение субъектам и объектам доступа личного идентификатора и сравнение его с заданным перечнем называется идентификацией. Идентификация обеспечивает выполнение следующих функций:
установление подлинности и определение полномочий субъекта при его допуске в систему,
контролирование установленных полномочий в процессе сеанса работы;
регистрация действий и др.
Аутентификацией (установлением подлинности) называется проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдает.
Общая процедура идентификации и аутентификации пользователя при его доступе в сеть представлена на рис. 2
Рис. 2  Классическая процедура идентификации и аутентификации
Если в процессе аутентификации подлинность субъекта установлена, то система защиты информации должна определить его полномочия (совокупность прав). Это необходимо для последующего контроля и разграничения доступа к ресурсам. По контролируемому компоненту системы способы аутентификации можно разделить на аутентификацию партнеров по общению и аутентификацию источника данных. Аутентификация партнеров по общению используется при установлении (и периодической проверке) соединения во время сеанса. Аутентификация источника данных – это подтверждение подлинности источника отдельной порции данных.
Разграничение доступа к ресурсам сети
После выполнения идентификации и аутентификации необходимо установить полномочия (совокупность прав) субъекта для последующего контроля санкционированного использования ресурсов.
Методы разграничения доступа:
разграничение доступа по спискам;
использование матрицы установления полномочий;
по уровням секретности и категориям;
парольное разграничение доступа.
Криптографическая защита
Криптография – наука о шифрах. Наиболее надежные методы за­щиты от угрозы НСД дает именно криптография. Разработкой методов преобразования (шифрования) информации с целью ее защиты от незаконных пользователей занимается крипто­графия. Такие методы и способы преобразования информации называ­ются шифрами.[12]
Процесс передачи секретных сведений по общедоступной  системе связи  с использованием средств криптографической защиты (см. рис. 3).
Рис. 3 Модель криптографической защиты
Источник секретных сведений и их приемник – удаленные законные пользователи защищаемой ин­формации: они хотят обмениваться информацией по общедоступному каналу связи. Криптоаналитик – незаконный пользователь (злоумышленник), который мо­жет перехватывать передаваемые по каналу связи сообщения и пытать­ся извлечь из них интересующую его информацию. Особую роль в схеме играет источник ключа К, который вырабатывает ключ и в простейшем случае по защищенному от посторонних лиц каналу связи передает его приемной стороне. Эту формальную схему можно считать моделью типичной ситуации, в которой применя­ются криптографические методы защиты информации.
Шифрование
Шифрование (зашифрование) - процесс применения шифра к за­щищаемой информации, т. е. преобразование защищаемой информации (открытого текста) в шифрованное сообщение (шифртекст, кри­птограмму) с помощью определенных правил, содержащихся в шифре.[12]
Дешифрование - процесс, обратный шифрованию, т. е. преобразо­вание шифрованного сообщения в защищаемую информацию с помо­щью определенных правил, содержащихся в шифре.
Наиболее известные способы шифрования это:
Симметричное шифрование
Ассиметричное шифрование
Гибридной шифрование
Симметричное шифрование, криптосистема - алгоритм шифрования, использующий один и тот же ключ для шифрования и расшифровки.
Асимметричных алгоритмах шифрования (или криптографии с открытым ключом) - для зашифровывания информации используют один ключ (открытый), а для расшифровывания - другой (секретный). Эти ключи различны и не могут быть получены один из другого.
Ассиметричные криптометоды очень медленные в сравнении с симметричными, потому они применимы для небольших объёмов информации. Ассиметричные алгоритмы применяются для шифрования ключей от симметричных систем, поскольку открытый ключ ассиметричного криптометода можно спокойно отправлять по сетям, чего не скажешь о ключах симметричных методов. Системы с открытым ключом поддерживают гораздо больше комбинаций ключа, что делает их, с некоторой точки зрения, более безопасными. Кроме того, ассиметричные алгоритмы используются в цифровых подписях.
Гибридная криптосистема - это система позволяет сочетать преимущества высокой секретности, предоставляемые асимметричными криптосистемами с открытым ключом, с преимуществами высокой скорости работы, присущими симметричным криптосистемам с секретным ключом. При таком подходе криптосистема с открытым ключом применяется для шифрования, передачи и последующего расшифрования только секретного ключа симметричной криптосистемы. А симметричная криптосистема применяется для шифрования и передачи исходного открытого текста. В результате криптосистема с открытым ключом не заменяет симметричную криптосистему с секретным ключом, а лишь дополняет ее, позволяя повысить в целом защищенность передаваемой информации.
ЭЦП
Важным примером криптографических алгоритмов (с открытым ключом) является электронно-цифровая подпись (ЭЦП). Порядок использования ЭЦП на территории Российской Федерации определен Федеральным Законом «О электронно-цифровой подписи» от 10.01.2002 № 1-ФЗ.[6]
ЭЦП – это программно-криптографическое средство, которое обеспечивает:
проверку целостности документов;
конфиденциальность документов;
установление лица, отправившего документ.
Использование ЭЦП позволяет:
значительно сократить время, затрачиваемое на оформление сделки и обмен документацией;
усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов;
гарантировать достоверность документации;
минимизировать риск финансовых потерь за счет повышения конфиденциальности информационного обмена;
построить корпоративную систему обмена документами.
Фактически, ЭЦП представляет собой совокупность закрытого ключа - контейнера, обладателем которого может быть только владелец сертификата, и однозначно соответствующего этому закрытому ключу открытого ключа – сертификата.
Контроль целостности данных и программ
Контроль целостности позволяет реализовать стратегию эффективного мониторинга, сфокусированную на системах, в которых целостность данных и целостность процессов играет наиболее важную роль. Этот подход дает возможность контролировать конкретные файлы, системные объекты и атрибуты системных объектов на происходящие изменения, обращая особое внимание  скорее на конечный результат атаки, а не на подробности развития атаки.
Антивирусный контроль
Для уменьшения потенциальной опасности внедрения компьютерных вирусов и их распространения по сети необходим комплексный подход, сочетающий различные административные меры, программно-технические средства антивирусной защиты, а также средства резервирования и восстановления.
Уровни и средства антивирусной защиты схематично представлены на рис. 4
Рис. 4 Уровни и средства антивирусной защиты
Защита от известных вирусов
Метод сканирования заключается в выявлении компьютерных вирусов по их уникальному фрагменту программного кода (сигнатуре, программному штамму). Для этого создается некоторая база данных сканирования с фрагментами кодов известных компьютерных вирусов. Обнаружение вирусов осуществляется путем сравнения данных памяти компьютера с фиксированными кодами базы данных сканирования. В случае выявления и идентификации кода нового вируса, его сигнатура может быть введена в базу данных сканирования. В виду того, что сигнатура известна, существует возможность корректного восстановления (обеззараживания) зараженных файлов и областей.
Антивирусные программы, выявляющие известные компьютерные вирусы, называются сканерами или детекторами. Программы, включающие функции восстановления зараженных файлов, называют полифагами. Сканеры принято разделять на следующие:
транзитные, периодически запускаемые для выявления и ликвидации вирусов,
резидентные (постоянно находящиеся в оперативной памяти).
К недостаткам сканеров следует отнести то, что они позволяют обнаружить только те вирусы, которые уже проникали в вычислительные сети, изучены и для них определена сигнатура.
Защита от неизвестных вирусов
Выявление и ликвидация неизвестных вирусов необходимы для защиты от вирусов, пропущенных на первом уровне антивирусной защиты. Наиболее эффективным методом является контроль целостности системы (обнаружение изменений). Данный метод заключается в проверке и сравнении текущих параметров вычислительной системы с эталонными параметрами, соответствующими ее незараженному состоянию. Контроль целостности не является прерогативой системы антивирусной защиты. Он обеспечивает защищенность информационного ресурса от несанкционированных модификации и удаления в результате различного рода нелегитимных воздействий, сбоев и отказов системы и среды. Для реализации указанных функций используются программы, называемые ревизорами. Работа ревизора состоит из двух этапов: фиксирование эталонных характеристик вычислительной системы (в основном диска) и периодическое сравнение их с текущими характеристиками. В сетевых системах могут накапливаться среднестатистические параметры функционирования подсистем (в частности исторический профиль сетевого трафика), которые сравниваются с текущими параметрами. Ревизоры, как и сканеры, делятся на транзитные и резидентные.
Разновидностью контроля целостности системы является метод программного самоконтроля, именуемый вакцинацией. Идея метода состоит в присоединении к защищаемой программе модуля (вакцины), контролирующего характеристики программы, обычно ее контрольную сумму.
Помимо статистических методов контроля целостности, для выявления неизвестных и маскирующихся вирусов используются эвристические методы. Они позволяют выявить по известным признакам (определенным в базе знаний системы) некоторые маскирующиеся или новые модифицированные вирусы известных типов. Программный модуль, реализующий эвристический метод обнаружения вирусов, называют эвристическим анализатором. Примером сканера с эвристическим анализатором является программа Dr Web фирмы «Диалог-Наука».[9]
Защита от проявлений вирусов
Блокировка проявления вирусов предназначена для защиты от деструктивных действий и размножения компьютерных вирусов, которым удалось преодолеть первые два уровня защиты. Методы основаны на перехвате характерных для вирусов функций. Известны два вида указанных антивирусных средств:
программы-фильтры,
аппаратные средства контроля.
При работе в глобальных сетях общего пользования, в частности в Internet, кроме традиционных способов антивирусной защиты данных компьютеров, становится актуальным антивирусный контроль всего проходящего трафика. Это может быть осуществлено путем реализации антивирусного прокси-сервера, либо интеграции антивирусной компоненты с межсетевым экраном. В последнем случае межсетевой экран передает антивирусной компоненте (или серверу) допустимый, например, SMTP, FTP и HTTP-трафик. Содержащиеся в нем файлы проверяются на предмет наличия вирусов и, затем, направляются пользователям. Новый уровнем антивирусной защиты ­– уровнем межсетевого экранирования. [9]
Существующие подходы к повышению уровня защищенности вычислительных сетей
Системы обнаружения атак создаются, чтобы обеспечить дополнительный уровень защиты вычислительной сети, дополняя традиционные средства защиты: межсетевые экраны, криптомаршрутизаторы, серверы аутентификации и т. д.  Очень часто противник в первую очередь атакует и пытается вывести из строя, имеющиеся защитные средства, обеспечивающие безопасность выбранной им цели.
Обнаруживать, блокировать и предотвращать нарушения политики безопасности можно несколькими путями. Первый и самый распространенный способ – это распознавание уже реализуемых атак. Это способ применяется в классических системах обнаружения атак. Однако недостаток средств данного класса в том, что атаки могут быть реализованы повторно. Поэтому было бы правильнее предотвращать атаки еще до их осуществления. В этом и заключается суть второго способа. Реализуется он путем поиска уязвимостей, которые могут быть использованы для совершения атаки. И, наконец, третий путь – выявление уже совершенных атак и предотвращение их повторения в дальнейшем.
Cистемы обнаружения нарушений политики безопасности можно классифицировать следующим образом (рис. 5)
Рис. 5 Классификация систем обнаружения атак по этапам осуществления атаки